Jeder Websitebesucher kann abmahnen.
Wir warnen schon seit Längerem, dass DSGVO-Verstöße zunehmend zu einer wirtschaftlichen Gefahr für Unternehmen werden. Die Grundregeln sind klar:
Keine Datenweitergabe an Drittanbieter, wenn nicht zwingend erforderlich und ohne Konsens.
Dazu gehört unter anderem auch die IP-Adresse eines Websitebesuchers, wenn die Website funktionelle Drittanbieterdienste nutzt. Google Fonts lassen sich sehr bequem direkt von den Google Servern einbinden – aus DSGVO Sicht ein klarer Verstoß, wenn der Nutzer hierbei nicht entscheiden darf.
Urteil vom Landgericht München
Vielleicht der letzte Warnschuss
Das sieht ebenso das Landgericht München, das in einem solchen Fall urteilen musste. Die Beklagte nutzt – wie derzeit unzählige Websites – Google Server für die Einbindung von Schriftarten. Dabei wird jedoch nicht über ein Cookie-Konsens-Banner die Erlaubnis eingeholt. So wird die IP-Adresse und natürlich auch zahlreiche weitere trackingrelevante Daten jedes Websitebesuchers an Google übertragen.
Die Beklagte wurde zu 100 € Schadensersatz zzgl. Zinsen verurteilt und zur Unterlassung verurteilt, ansonsten droht ein Ordnungsgeld bis zu 250.000,00 €, alternativ Ordnungshaft bis zu 6 Monate. Zusätzlich erhält der Kläger Auskunft über die gespeicherten und verarbeiteten Daten.
Dabei sind Google Fonts nur ein Beispiel: Content Delivery Networks (CDNs) werden in unzähligen Webprojekten genutzt, um externe Bibliotheken und Scripte einzubinden, beispielsweise jQuery oder Bootstrap. Dies ergibt aus technischer Sicht längst keinen Sinn mehr.
Meinung
DSGVO Verstöße sollten härter bestraft werden
Es ist geradezu ärgerlich, dass die Strafe nicht weitaus höher ausgefallen ist.
Die meisten DSGVO Verstöße sind nicht nur völlig unnötig, sondern sehr leicht zu beheben. In diesem Fall hätten die Google Fonts auch vom eigenen Server ausgeliefert werden können.
Sicher ist der Schaden eines einzelnen Websitebesuchers mit 100 € für die rechtswidrige Weitergabe der IP-Adresse angemessen. Doch der Schaden ist ja auch bei jedem anderen Nutzer der Website aufgetreten – nur haben diese nicht geklagt. Vielleicht ist es auch nur eine Frage der Zeit, bis eine Sammelklage in Form einer Musterfeststellungsklage durch einen Verbraucherschutzverband Schadensersatz für tausende Nutzer gleichzeitig geltend macht.
Die DSGVO erweist sich nach wie vor als zu zahnfauler Tiger, denn die meisten Unternehmen betreiben nur Symbolpolitik durch Cookie-Konsens-Banner ohne oder mit lediglich unvollständiger Funktion – hohe Strafen bleiben zumeist aus.
Theoretisch wären Geldbußen bis zu 4% des weltweiten Jahresumsatzes möglich, einzelne Datenschutzbehörden mahnen zuletzt häufiger ab, die realen Geldstrafen sind allerdings bislang zu niedrig. Selbst 65.000 € Strafe für einen gehackten Onlineshop erscheinen viel zu niedrig in Anbetracht dessen wie sensibel Shopping-Daten für Kunden sein können.
Unsere Empfehlung
Verzichten Sie auf Cookie Banner – Third-Party-Cookies sterben aus.